我正在尝试了解 IIS 8.5 用户帐户模型。
国际用户协会:默认匿名用户(可更改)。它是请求网络资源的身份
应用程序池标识:用于应用程序池的特殊身份
IIS_IUSRS:它是所有特殊 ApplicationPoolIdentity 所在的组
IIS_IUSRS 对 wwwroot 文件夹具有读取/执行权限
我不明白为什么 IUSR 对 wwwroot 文件夹没有任何权限
任何 Web 请求怎么可能不导致 401 错误???
答案1
如果你看一下默认权限C:\inetpub\wwwroot
:
BUILTIN\IIS_IUSRS:(RX)
BUILTIN\IIS_IUSRS:(OI)(CI)(IO)(GR,GE)
NT SERVICE\TrustedInstaller:(I)(F)
NT SERVICE\TrustedInstaller:(I)(OI)(CI)(IO)(F)
NT AUTHORITY\SYSTEM:(I)(F)
NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
BUILTIN\Administrators:(I)(F)
BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
BUILTIN\Users:(I)(RX)
BUILTIN\Users:(I)(OI)(CI)(IO)(GR,GE)
CREATOR OWNER:(I)(OI)(CI)(IO)(F)
您可以看到该Users
组具有读取权限,独立专家自动成为该组的成员Users
,这就是它可以访问文件的原因。
如果你删除权限,Users
你应该得到一个401.3
答案2
因为账号是凭借群组IUSR
放进群组的。users
NT Authority\Authenticated Users
这两个主要由于遗留原因而存在,但却服务于两个不同的目的。
- 该
IUSR
账户用于匿名认证 - 该
IIS_IUSRS
组用于允许应用程序池用户进行安全控制
有一些历史记载还有一些不错的有关 IUSR 帐户使用情况的信息它的前身是IUSR_计算机名称可用的。